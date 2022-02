Eine App, alle wichtigen Dokumente: Mit Verimi gibt's ab sofort eine neue virtuelle Brieftasche für Ausweise und Zertifikate. IT-Sicherheitsforscher sind alarmiert.

Im vergangenen Jahr dauerte es eine knappe Woche, bis das Vorzeigeprojekt "ID Wallet" des ehemaligen Verkehrsministers Andreas Scheuer (CDU) nach einer überhasteten Veröffentlichung wieder von der Bildfläche verschwand. Dabei ist die Idee für viele Menschen nach wie vor sehr reizvoll: Personalausweis, Führerschein, Impfzertifikat – alles in einer App, im besten Fall stellvertretend für die "echten" Nachweise im Portmonee. Mit Verimi folgt nun der nächste Versuch, wichtige Dokumente endlich zu digitalisieren. Nicht frei von Kritik.

Die Verimi-App ist als Smartphone-App verfügbar (hier für iOS, hier für Android). Aktuell lässt sich dort der Personalausweis und der Covid-Pass, also das Impfzertifikat, hinterlegen. Für den Impfnachweis scannt man einfach wie gewohnt den QR-Code, den Personalausweis hinterlegt man entweder per eID, also der elektronischen Ausweisfunktion, oder per Videochat mit dem Unternehmen. Sollten Sie die elektronischen Ausweisfunktionen noch nicht nutzen können, hilft Ihnen das für Sie zuständige Bürgeramt bei der Beantragung. Was den EU-Führerschein betrifft, enthält die App zurzeit noch einen Platzhalter. Hier arbeitet man offenbar noch an der Integration.

Das Ziel der App ist klar: Es soll möglich sein, sich bei Bedarf digital auszuweisen. Das soll sowohl für Sichtkontrollen vor Ort gelten als auch zum Nachweisen der eigenen Identität bei digitalen Dienstleistungen, beispielsweise bei Banken, Versicherungen oder Autovermietern. Verimi wirbt damit, dass viele Unternehmen, darunter auch öffentliche Verwaltungen, die digitalen Ausweise bereits akzeptieren.

Widersprüche bei der Verwendung

Bei der Frage nach dem Ersatz für den physischen Ausweis widerspricht sich Verimi allerdings. Das Unternehmen schreibt auf der eigenen Webseite, dass die Funktion des Personaldokuments mit Lichtbild nicht ersetzt werde. Gleichzeitig spricht Verimi in der Pressemitteilung davon, dass "das COVID-Zertifikat und der verifizierte Ausweis intuitiv erfassbar auf einer Seite dargestellt sind", und es daher "im Alltag für den 2G-Nachweis ausreicht, einfach den Screen der Verimi-App zu zeigen." Die Praxis wird zeigen, wie die App beispielsweise in Restaurants ankommt.

Verimi dient aber vor allem als Möglichkeit, sich im Internet auszuweisen. Tatsächlich finden sich in der Liste der Partner Einträge wie Buhl Data, Telekom, Deutsche Bank, Medien des Axel-Springer-Verlages, Lotto Hessen und der Freistaat Thüringen. Die Einsatzmöglichkeiten reichen von vereinfachter Anmeldung bis hin zur rechtsverbindlichen, digitalen Unterschrift.

In puncto Sicherheit verspricht Verimi, dass die App "auf den Prinzipien der selbst-souveränen Identitäten (SSI) aufgebaut [ist] und den Nutzern damit jederzeit die volle Transparenz und Kontrolle über ihre Daten [bietet]." Konkret seien dadurch Missbrauch, unbefugte Zugriffe, Profilierung und werbliche Nutzung der Daten ausgeschlossen. Was genau eine selbstbestimmte Identität ist, erfahren Sie unter anderem bei Wikipedia.

Auf die Frage, womit das Unternehmen dann sein Geld verdiene, schreibt Verimi: "Wenn ein Nutzer Daten aus einem Verimi-Profil an ein Partnerunternehmen übermittelt, erhält Verimi für die Übertragung der Daten an den Partner je nach Verifikationslevel eine Gebühr. Verimi nimmt seinen Partnern in seiner Rolle als Identitätsplattform die Identifizierung und Verifizierung der Nutzer ab."

IT-Experten sind skeptisch

Zumindest, was die Sichtkontrolle beim Besuch von Restaurants angeht, sind Sicherheitsexpertinnen und -experten skeptisch. Lilith Wittmann, Mitglied beim IT-Kollektiv Zerforschung, erklärte dem stern auf Nachfrage, dass der Start der App in ihren Augen eher als Marketing-Aktion zu verstehen sei. Sie schreibt: "Wenn jemand sich tatsächlich erzählen lassen wird, dass ein Ausweis auf einem Smartphone als Bild dargestellt, ein legitimer Weg der Identifizierung ist, dann wäre das auf jeden Fall witzig." Auf ihrem Twitter-Profil wird Wittmann etwas ausführlicher und zeigt erste Nachbauten eines Verimi-Ausweises, wie er auch in der App zu sehen wäre.

In der dortigen Diskussion fragt man sich auch, wie die Prinzipien der persönlichen Datenhoheit (SSI) mit der Übertragung der Daten auf die Server von Verimi und Partnerunternehmen zu vereinbaren sei. Eigentlich, das bildet den Kern der selbst-souveränen Identitäten, sollten die Daten stets unter Kontrolle des Nutzers bleiben.

Offen bleibt in jedem Fall, welchen Nutzen die App im Alltag haben kann, wenn der Hersteller selbst schreibt, dass die Ausweise kein Ersatz für das jeweils physische Dokument sind. Mehr als die Möglichkeit, sich mit zahlreichen (verifizierten) Daten bei Dienstleistern anzumelden, bliebe dann am Ende nicht. Auf eine digitale Kopie wichtiger Dokumente mit einer rechtsverbindlichen Möglichkeit, sich in der realen Welt ausweisen zu können, wird man also wohl weiterhin warten müssen.